ICS 35.080 L 76 DB34 安 徽 省 地 方 标 准 DB 34/T 3607—2020 电子政务外网政务部门接入规范 Access specification for government departments of e-government network 文稿版次选择 2020 - 06 - 22 发布 安徽省市场监督管理局 2020 - 07 - 22 实施 发 布 DB34/T 3607—2020 前 言 本标准按照 GB/T 1.1-2009 给出的规则起草。 本标准由安徽省经济信息中心提出。 本标准由安徽省信息技术标准化技术委员会归口。 本标准起草单位：安徽省经济信息中心、淮北市数据资源管理局、安徽省应急管理宣传教育中心。 本标准主要起草人：姜精如、彭云峰、刘扬、王悄、刘兵、朱典、张静、杨阳、张明阳、张国戈、 张太平、王征、胡恩炀。 I DB34/T 3607—2020 电子政务外网政务部门接入规范 1 范围 本标准规定了电子政务外网政务部门的用户分类、用户接入方案和接入方式选择原则。 本标准适用于省及以下各级政务部门规范接入电子政务外网。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GW 0207 国家电子政务外网IPv4地址地方分配部署指南 3 术语和定义 GW 0207 界定的术语和定义适用于本文件。 4 用户分类 政务部门用户根据接入情况的不同可分为以下六类： ——A 类用户：仅访问公共区； ——B 类用户：在访问公共区的同时，通过统一的互联网出口上网； ——C 类用户：在访问公共区的同时，通过自建的互联网出口上网； ——D 类用户：在访问公共区和专网区的同时，通过统一的互联网出口上网； ——E 类用户：在访问公共区和专网区的同时，通过自建的互联网出口上网； ——F 类用户：在政府集中园区内办公，通过园区网访问电子政务外网和互联网。 5 5.1 用户接入方案 A 类用户 A 类用户接入方案见图1，包括以下内容： a) 用户接入区功能：需要实现路由、地址转换和安全防护功能； b) 用户接入区设备：用户侧接入设备可为路由器或防火墙，直接连接外网侧接入设备。用户网内 有公共区服务器时，用户侧接入设备应为防火墙； c) 地址转换要求：用户访问电子政务外网或对外提供服务时，用户侧接入设备需将私网地址转换 成电子政务外网地址。 1 DB34/T 3607—2020 电子政务外网 公共区 2 2 2 2 终端地址： 172.X.X.X 192.X.X.X 10.X.X.X 1 接入区 用户普通终端区 DMZ区 业务地址：172.X.X.X 192.X.X.X 10.X.X.X 59.X.X.X 1 公共区服务器 图1 5.2 2 终端网关 采用100或私网地址互联 公共区流量 A 类用户接入方案示意图 B 类用户 B 类用户接入方案见图2，包括以下内容： a) 用户接入区功能：需要实现路由、地址转换和安全防护功能； b) 用户接入区设备：用户侧接入设备可为路由器或防火墙，采用两个子接口分别连接公共区和互 联网区。用户网内有服务器时，用户侧接入设备应为防火墙； c) 地址转换要求：用户访问电子政务外网或对外提供服务时，用户侧接入设备需将私网地址转换 成电子政务外网地址。 电子政务外网 3互联网区 3 3 3 2 2 2 2 公共区 终端地址：172.X.X.X 192.X.X.X 10.X.X.X 1 用户普通终端区 接入区 DMZ区 终端网关 采用100或私网地址互联 3 采用互联网或私网地址互联 公共区流量 互联网区流量 1 业务地址：172.X.X.X 192.X.X.X 10.X.X.X 59.X.X.X 2 公共区服务器 图2 5.3 B 类用户接入方案示意图 C 类用户 C 类用户接入方案见图3，包括以下内容： a) 用户接入区功能：需要实现路由、地址转换和防火墙功能； b) 用户接入区设备：用户侧部署两台防火墙分别连接电子政务外网和互联网。公共区服务器接入 公共区防火墙，互联网服务器接入互联网防火墙，普通终端通过用户网汇聚交换机接入两台防 火墙； c) 地址转换要求：用户访问电子政务外网或对外提供服务时，公共区防火墙需将私网地址转换成 电子政务外网地址。 2 DB34/T 3607—2020 3 互联网 DMZ区 3 4 互联网服务器 终端地址：172.X.X.X 192.X.X.X 10.X.X.X 用户普通终端区 电子政务外网 2 公共区 2 2 2 业务地址：172.X.X.X 192.X.X.X 10.X.X.X 59.X.X.X 1 DMZ区 接入区 公共区服务器 1 2 3 4 图3 5.4 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 互联网终端网关 互联网流量 公共区流量 C 类用户接入方案示意图 D 类用户 D 类用户接入方案见图4，包括以下内容： a) 用户接入区功能：需要实现路由、地址转换和防火墙功能； b) 用户接入区设备：用户侧部署三台防火墙分别连接电子政务外网公共区、专网区和互联网区， 公共区、专网区和互联网区服务器分别接入公共区、专网区和互联网区防火墙，普通终端通过 用户网汇聚交换机接入公共区和互联网区防火墙，专用终端通过用户网汇聚交换机接入专网区 防火墙； c) 业务隔离：用户网内的不同区域之间需要通过 VLan 实现隔离。 3 DB34/T 3607—2020 4 2 DMZ区 专网区服务器 电子政务外网 2 2 3 3 22 2 普通终端地址：172.X.X.X 192.X.X.X 10.X.X.X 1 3 DMZ区 公共区服务器 3 DMZ区 互联网区服务器 图4 专用终端地址：X.X.X.X 普通终端 专用终端 用户终端 5 接入区 5.5 普通终端 1 2 3 4 5 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 专网区终端网关 互联网区终端网关 互联网区流量 公共区流量 专网区流量 D 类用户接入方案示意图 E 类用户 E 类用户接入方案见图5，包括以下内容： a) 用户接入区功能：需要实现路由、地址转换和安全防护功能； b) 用户接入区设备：用户侧接入设备需采用两个子接口分别连接公共区和专网区，分别设定公共 区和专网区网关； c) 业务隔离：用户网内的不同区域之间需要通过 VLan 实现隔离。 4 DB34/T 3607—2020 4 2 DMZ区 2 电子政务外网 2 2 2 专网区服务器 1 2 普通终端地址：172.X.X.X 192.X.X.X 10.X.X.X DMZ区 接入区 公共区服务器 3 互联网 专用终端地址：X.X.X.X 普通终端 专用终端 用户终端 3 5 DMZ区 互联网服务器 图5 5.6 普通终端 1 2 3 4 5 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 专网区终端网关 互联网终端网关 互联网流量 公共区流量 专网区流量 E 类用户接入方案示意图 F 类用户 F 类用户接入方案见图6，包括以下内容： a) 服务器集中托管：集中办公区内设置统一机房，对服务器集中托管； b) 用户接入区设备：以园区网核心交换机作为用户侧接入设备，直接连接外网侧 PE 设备。每个 政务部门划分单独的 VLan，公共区 VLan 由园区网核心交换机作为网关，专网区 VLan 由 PE 设 备作为网关； c) 业务隔离：用户网内的不同区域之间需要通过 VLan 实现隔离。 5 DB34/T 3607—2020 DMZ区 专网区服务器 1 2 2 2 电子政务外网 2 2 政务外 网地址 NAT转换 2 普通终端 4 普通终端地址：172.X.X.X 192.X.X.X 10.X.X.X 专用终端地址：X.X.X.X PE设备 专用终端 用户终端 DMZ区 接入区 公共区服务器 5 互联网 3 3 图6 6 DMZ区 互联网服务器 1 2 3 4 5 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 专网区终端网关 互联网终端网关 互联网流量 公共区流量 专网区流量 F 类用户接入方案示意图 接入方式选择原则 各级政务部门可从办公环境、业务访问、适用场景等维度判定所属用户类型，按照所属类型的接入 参考方案规范接入电子政务外网。接入方式选择见表1。 表1 接入方式选择 用户类型 办公环境 业务访问需求 A类用户 独立办公 公共区 B类用户 独立办公 公共区+统一出口 C类用户 独立办公 公共区+自有出口 适用于已自建互联网出口，有访问公共区需求的政务部门 D类用户 独立办公 公共区+专网区+统一 适用于已接入政务外网互联网统一出口，有访问公共区和专网区需求 出口 的政务部门 E类用户 独立办公 F类用户 集中办公 适用于由于需要访问某个业务系统而接入电子政务外网的政务部门 公共区+专网区+自有 出口 统一出口 适用场景 适用于已接入政务外网互联网统一出口，有访问公共区需求的政务部 门 适用于已自建互联网出口，有访问公共区和专网区需求的政务部门 适用于在省、市、县政府集中办公区的政务部门，园区网有统一的互 联网出口 _________________________________ 6